&

路由安全策略的強化措施探討發(fā)布者：本站時間：2020-05-02 16:05:56

重要行業(yè)領(lǐng)域廣泛使用的冗余結(jié)構(gòu)模式網(wǎng)絡(luò)，在路由安全性方面存在可能造成網(wǎng)絡(luò)中斷的安全隱患。利用定時檢測對端網(wǎng)絡(luò)目的節(jié)點是否可達(dá)的網(wǎng)絡(luò)檢測機制，可發(fā)現(xiàn)網(wǎng)絡(luò)故障，加速路由收斂。據(jù)此，本文提出了通過調(diào)整路由協(xié)議參數(shù)、建立故障快速檢測機制、優(yōu)化網(wǎng)絡(luò)服務(wù)質(zhì)量等加強路由安全策略的建議。

日益普及的網(wǎng)絡(luò)應(yīng)用對網(wǎng)絡(luò)的穩(wěn)定性要求愈來愈高，金融行業(yè)領(lǐng)域骨干網(wǎng)絡(luò)的組網(wǎng)模式都以備份冗余結(jié)構(gòu)設(shè)計為基礎(chǔ)，即網(wǎng)絡(luò)系統(tǒng)由多臺核心網(wǎng)絡(luò)設(shè)備組成一個“熱備份組”,如果處于活動狀態(tài)的設(shè)備發(fā)生了故障，網(wǎng)絡(luò)系統(tǒng)將選擇一個備份設(shè)備來替代活動設(shè)備，并自動實現(xiàn)路由切換和數(shù)據(jù)包轉(zhuǎn)發(fā)，網(wǎng)絡(luò)內(nèi)的主機仍然保持網(wǎng)絡(luò)活動的連續(xù)性而不受影響。

一、存在的路由安全問題分析

熱備份冗余結(jié)構(gòu)網(wǎng)絡(luò)通常采用動態(tài)路由協(xié)議或浮動靜態(tài)路由協(xié)議實現(xiàn)多條備份路由之間的動態(tài)切換，而核心網(wǎng)絡(luò)兩端的路由設(shè)備通常采用以太網(wǎng)接口相互聯(lián)接，且中間經(jīng)過了傳輸設(shè)備，如運營商的光端機或協(xié)議轉(zhuǎn)換器，或是某些二層網(wǎng)絡(luò)設(shè)備等。在沒有特殊配置的情況下，廣域網(wǎng)兩端的網(wǎng)絡(luò)路由設(shè)備之間并不能檢測到彼此的端口狀態(tài)變化信息，當(dāng)通信鏈路、網(wǎng)絡(luò)傳輸設(shè)備發(fā)生突發(fā)故障時，本端設(shè)備仍然認(rèn)為對端設(shè)備網(wǎng)絡(luò)通信可達(dá)，從而導(dǎo)致發(fā)送到對端設(shè)備的數(shù)據(jù)全部被丟棄，造成網(wǎng)絡(luò)中斷，引發(fā)網(wǎng)絡(luò)安全性風(fēng)險。

第一種情況，當(dāng) 4 臺路由器運行在 OSPF 動態(tài)路由協(xié)議下，遇到運營商廣域網(wǎng)線路中斷時，由于鏈路中間傳輸設(shè)備的影響，使得所連接的路由器接口仍然為 up狀態(tài)。OSPF 路由協(xié)議采用慢 hello 機制，hello time 和dead time 默認(rèn)為 10 秒和 40 秒，因此當(dāng)線路出現(xiàn)故障時，在最壞的情形下 OSPF 需要 40 秒才能完成路由收斂，會產(chǎn)生網(wǎng)絡(luò)短暫中斷，對視頻流量及實時交互報文等時延敏感型業(yè)務(wù)會造成重大影響。

第二種情況，當(dāng)邊界路由器 R1、R3 之間運行OSPF 動態(tài)路由協(xié)議或是 VRRP（或 HSRP 等）備份冗余路由協(xié)議，R2、R4 路由器采用浮動靜態(tài)路由協(xié)議的情況下，若遇到運營商傳輸設(shè)備發(fā)生故障，例如路由器R1 的 G1/0/1 接口連接的傳輸設(shè)備部分損壞導(dǎo)致該接口變化為 down 狀態(tài)，此后路由器 R1 會刪除到 R2 的路由，而通過 OSPF 動態(tài)路由協(xié)議或 VRRP 等備份冗余路由協(xié)議更新路由表后將下一跳指向 R3,這樣從路由器 R1 發(fā)出的數(shù)據(jù)包需經(jīng)過路由器 R3、R4 的傳輸，最終到達(dá)路由器 R2.然而在數(shù)據(jù)包回程路由方向，路由器 R2 的G1/0/1 接口仍為 up 狀態(tài)，此時路由器 R2 的路由表中到R1 的靜態(tài)路由仍然保持不變，因此去往路由器 R1 的數(shù)據(jù)包仍舊從路由器 R2 的 G1/0/1 接口發(fā)出，但該條鏈路已經(jīng)處于中斷狀態(tài)，故此時網(wǎng)絡(luò)傳輸會被中斷。

二、解決路由問題的機制及原理

網(wǎng)絡(luò)中冗余備份鏈路的設(shè)計思想，要求網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)發(fā)生故障時，能夠快速準(zhǔn)確地檢測出故障，并將流量路由至備份鏈路，以加快網(wǎng)絡(luò)收斂速度。由此看來，尋找一種有效的網(wǎng)絡(luò)故障檢測方法是充分發(fā)揮冗余結(jié)構(gòu)網(wǎng)絡(luò)功能的關(guān)鍵。目前，已提出的通過硬件檢測機制來實現(xiàn)快速故障檢測的方法存在一定的局限性，如該方法可適用 POS 鏈路，但不可用于以太網(wǎng)鏈路；利用網(wǎng)絡(luò)應(yīng)用層面本身來實現(xiàn)故障檢測，不僅增加了網(wǎng)絡(luò)傳輸與網(wǎng)絡(luò)應(yīng)用之間的耦合度，其故障檢測耗費的時間也相對較長，不能滿足實時性強的網(wǎng)絡(luò)應(yīng)用要求。

最簡單的網(wǎng)絡(luò)檢測方法是基于傳統(tǒng)的 Ping 功能，使用 ICMP 控制報文協(xié)議，定期向?qū)Χ诉h(yuǎn)程通信目的節(jié)點發(fā)送一定格式的數(shù)據(jù)包，并等待遠(yuǎn)程通信節(jié)點的反饋，測試數(shù)據(jù)包在本端和目的端之間的往返時間，如果在規(guī)定時間內(nèi)收到來自對端目的節(jié)點正確的反饋信息，那么該連接就是正常的，否則判斷該連接已經(jīng)中斷。在此基礎(chǔ)上，對網(wǎng)絡(luò)的響應(yīng)時間、網(wǎng)絡(luò)時延抖動、丟包率等網(wǎng)絡(luò)信息進(jìn)行統(tǒng)計分析，達(dá)到實時檢測網(wǎng)絡(luò)運行狀態(tài)的目的。

三、加強路由安全策略的建議

基于網(wǎng)絡(luò)檢測的基本原理，從網(wǎng)絡(luò)運維的實踐出發(fā)，充分考慮各種網(wǎng)絡(luò)通信環(huán)境、網(wǎng)絡(luò)設(shè)備特性、路由協(xié)議特點、網(wǎng)絡(luò)應(yīng)用的實際要求等因素，建議從以下幾個方面加強路由安全策略。

1. 調(diào)整動態(tài)路由協(xié)議參數(shù)，縮短路由收斂時間

運行 OSPF 動態(tài)路由協(xié)議的路由設(shè)備默認(rèn)以 10 秒間隔發(fā)送 hello 包，發(fā)現(xiàn)鄰居后 hello 包在鄰居之間扮演著 keep alive 的角色。為解決協(xié)議在網(wǎng)絡(luò)狀態(tài)發(fā)生變化時完成路由收斂相對較慢，產(chǎn)生網(wǎng)絡(luò)短暫中斷的問題，可根據(jù)網(wǎng)絡(luò)活動的需要改變協(xié)議的 hello 包發(fā)送時間hello-interval 參數(shù)及死亡時間 dead-interval 參數(shù)配置，如設(shè)置 hello 包間隔時間在 1 ~ 3 秒，這對大多數(shù)網(wǎng)絡(luò)應(yīng)用是可接受的。

2. 建立網(wǎng)絡(luò)故障快速檢測機制

利用雙向轉(zhuǎn) 發(fā) 檢測（Bidirectional ForwardingDetection ,BFD）協(xié)議，提供一個通用標(biāo)準(zhǔn)化的與介質(zhì)無關(guān)和協(xié)議無關(guān)的快速故障檢測機制，上層協(xié)議建立會話后周期性地快速發(fā)送 BFD 報文，如果在檢測時間內(nèi)沒有收到BFD報文則認(rèn)為該雙向轉(zhuǎn)發(fā)路徑發(fā)生了故障。

建議將 BFD 協(xié)議與 OSPF 動態(tài)路由協(xié)議（或是 VRRP等協(xié)議）進(jìn)行聯(lián)動使用，選定對端網(wǎng)絡(luò)中某個地址作為網(wǎng)絡(luò)檢測目標(biāo)，通過設(shè)定最小發(fā)送間隔 min-transmit-interval、最小接收間隔 min-receive-interval 等參數(shù)，定時進(jìn)行目標(biāo)地址的網(wǎng)絡(luò)檢測，檢測到鏈路故障后告知OSPF 進(jìn)程鄰居不可達(dá)，再由 OSPF 進(jìn)程中斷 OSPF 鄰居關(guān)系。此種方法的網(wǎng)絡(luò)檢測時間能有效控制在 1 秒以內(nèi)，因而加快網(wǎng)絡(luò)收斂速度，大幅減少網(wǎng)絡(luò)應(yīng)用的中斷時間，提高網(wǎng)絡(luò)的可靠性。

選擇我們，優(yōu)質(zhì)服務(wù)，不容錯過
1. 優(yōu)秀的網(wǎng)絡(luò)資源，強大的網(wǎng)站優(yōu)化技術(shù)，穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗，優(yōu)秀的技術(shù)和設(shè)計水平，更放心
3. 全程省心服務(wù)，不必?fù)?dān)心自己不懂網(wǎng)絡(luò)，更省心。
------------------------------------------------------------
24小時聯(lián)系電話：021-58370032

上一篇：中國網(wǎng)絡(luò)空間安全所面臨的挑戰(zhàn)及其原因下一篇：影響網(wǎng)站安全的五個主要因素

路由安全策略的強化措施探討發(fā)布者：本站 時間：2020-05-02 16:05:56

路由安全策略的強化措施探討發(fā)布者：本站時間：2020-05-02 16:05:56